Hier soll ein Sammelthread entstehen, indem über aktuelle Fehlalarme über AV's berichtet wird.
Ich fang dann mal an:
F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.
Scrapie
25.10.2008, 08:42
Hi
SmartSniff von Nirsoft wird von eSafe als FP erkannt:
*Klick*Bis vor kurzem auch noch von a-squared, dass wurde aber schnell gefixed...
Wer hat Kontakt zu eSafe?
Scrapie
Die Files, die von eSafe als "Suspicious File" gemeldet werden, werden soweit ich weiss nicht gefixt, solange es keine "bedeutsamen" Files sind.
Scrapie
25.10.2008, 09:13
Okay, ich schick's mal hin...
a-squared FP bei enzip.exe aus einem alten F-Prot-Archiv:
*Klick*Ich geh'jetzt erst mal zur Arbeit
,
Scrapie
chris30duew
25.10.2008, 14:39
Avast und somit auch GDATA erkennt die Installationsdatei von Panda IS 2008 oder 2009 als virus. Zahlreiche Beschwerden und eine PM an Gdatamitarbeiter blieben erfolglos. Auch eine e-mail an Avast brachte keine Besserung. AVG hat ebenfalls die Datei bemängelt, hat jedoch 4h nach meiner FP einsendung reagiert und den FP eingeräumt und ihn aus den Signaturen genommen. vorbildlich.
Gdata und auch Avast erkennt in Programm PcTools Registry Cleaner 7 ebenfalls einen Virus. Auch hier bisher alle Beschwerden und Einsendung an die Gdata Ambulanz nach Scan als FP erfolglos. Schwach kann ich nur sagen!
Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ...
Nightwatch
31.10.2008, 21:47
ZITAT(blueX @ 31.10.2008, 21:44)
Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ...
Überfordere sie doch nicht so. Erst das neue Release, dann gleich drei (zum Teil böse) Sicherheitslücken + einem schwachen Test bei AV-C. Wen interessieren da noch FP´s ?
Kannst du das File über das Programm zu denen senden?
Üblicherweise werden solche Einreichungen bevorzugt bearbeitet.
Nightwatch
31.10.2008, 21:50
ZITAT(blueX @ 31.10.2008, 21:47)
Kannst du das File über das Programm zu denen senden?
Über das Programm nicht. Aber ich habe so meine 1-2 E-Mail-Adressen, bei denen es ganz flott geht
. Zumindest, dass sie da draufschauen.
Wenn du schon dabei bist ->
http://www.rokop-security.de/index.php?showtopic=17661 Dies erkennen sie auch noch fälschlicherweise.
Nightwatch
31.10.2008, 21:55
ZITAT(blueX @ 31.10.2008, 21:52)
Ich habs geahnt. Wird wieder ein stressiger Abend
.
Nein, im Ernst. Werde die beiden Dateien einschicken und dann hoffen. Spätestens Morgen, denn ich muss gleich noch einige berufliche Dinge erledigen.
ZITAT(blueX @ 25.10.2008, 08:01)
F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.
Kann ich nicht bestätigen, bei mir kommt weder beim herunterladen noch beim Installieren eine derartige Meldung von F-Secure.
ZITAT(blueX @ 31.10.2008, 21:52)
Kann ich ebenfalls nicht bestätigen,keine Meldung von F-Secure beim starten des Programmes.
Hast du die Heuristik aktiviert?
ZITAT(blueX @ 01.11.2008, 10:54)
Hast du die Heuristik aktiviert?
Du meinst den DeepGuard,der läuft.
kurz-pc
15.11.2008, 12:03
ThreatFire/PCTools
VBoxWHQLFake.exe als Worm.AutoIt.s erkannt.
C:\Programme\Sun\xVM VirtualBox Guest Additions\VBoxWHQLFake.exe
http://www.virustotal.com/analisis/fdab050...fa6b06ccc43b420Datei gehört zur Guest Additions von VirtualBox.
Vor 3 Tagen per Upload Formular gemeldet. Habe es jetzt zusätzlich noch im PCTools Forum geschrieben.
Edit:
Noch mal was gefunden.
UniExtract.exe als Worm.AutoIt.s.
http://www.virustotal.com/analisis/e...fa67ea87713018http://legroom.net/software/uniextract
kurz-pc
15.11.2008, 14:51
Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.
Scrapie
16.11.2008, 09:36
@kurz-pc:
AutoIt ist berüchtigt dafür, dass es von den AV's zu unrecht erkannt wird.
Für Kinder, die selber noch keine richtige Programmiersprache können, ist es oft der Einstieg in ihre große Virenschreiberkarriere.
Damit können sie schnell mit ein paar Klicks und einer handvoll Befehlen Dinge steuern + es kann Eingaben und Mausklicks ausführen. Das Resultat wird dann von Hause aus schon gepackt und augenblicklich springen (die Heuristiken) vieler AV's an, wenn es nur leicht nach AutoIt riecht.
Wenn ich daher im Result AutoIt lese => ab in die VM und selber checken...
Scrapie
kurz-pc
16.11.2008, 13:03
ZITAT(blueX @ 15.11.2008, 22:14)
Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.
Jo hab es per threatfire Submite Forular gemacht da gibt es extra hacken für False Positive und Möglichkeit für Beschreiben.
Die Neugier hat mich gepackt und ich teste gerade mal die Home Edition von avast!.
Einziges FP bei der Prüfung der Festplatten war "F:\Programme\AceBIT\Password Depot 3\PasswordDepot.exe".
Da wurde angeblich ein "Win32:Dropper-PD(Trj)" erkannt.
Das ist nicht viel, wenn ich bedenke was die in a-squared Anti-Malware enthaltene Ikarus-Engine so alles gefunden haben will.
FP übers Programm gemeldet - nun ich bin gespannt was passiert.
G-Data beschreitetnun den gleichen Weg wie vor ein paar Wochen a Squared mit Ikarus bzw. es war die Engine von Ikarus.
Die Pack-Dat. von Safersurf wird als Virus angesehen und gibt somit auf ALLEN exe.dateien, die selber üer Safersurf runtergeladen wurden
einen Virusalarm aus und wer hat damit gerechnet bei entsprechender UNVORSICHTIGER Einstellung nämlich ohne Fragen in Quarantäne,
hat man so auf einem sauberen System plötzlich nach nur einem Scan-Vollsuch-Lauf geschlagene
60 FP.
Es ist schon abenteuerlich das man diese wegen Überlastung des Quarantäne Ordners nicht wieder zurückgespielt bekommt...
bei vollen 4GB.RAM also alle Programme und Wächter abgestellt...Fehlanzeige G-Data hängt...
Nun die anderen Wächter deinstaliert wegen der Dienste etc.. G-Data hängt immer noch...
G-Data deinstalieren...auch nicht möglich weder Quarantäne löschen noch Prog.Daten behalten...
nun eines half dann nach 10 Neustarts....AVK Cleaner+Ccleaner/Reg.+Tune-up+3xNeustart und Wiederholungen...
hab ich schon erwähnt das die staubige Ecke im Regal zuwags von G-Data bekommen hat?
F-Secure ist wieder belebt worden......so kanns gehen.
Moin Stefan, Moin Sasser!
Die Avast-Engine von GData hat die FP´s produziert. Ich habe eh den Eindruck, dass eher Avast mehr FP´meldet als BitDefender.
Bis denne
Olli
Sophos - alle paar Tage ein beliebiger USB Stick.
Domino
Jav.SEC.21
22.11.2008, 13:42
False Positive:
G DATA 2009 erkennt mit Engine B die neue Version von
McAfee AVERT Stingerals einen
Win32:Simile Virus an.
Virus: Win32:Simile (Engine B) (Auch bekannt als
W32/Etap)
Datei: stinger10000457.exeVerzeichnis: C:\Dokumente und Einstellungen\...\...
Prozess: Explorer.EXE
Wurde bereits an G DATA gemeldet.
Oh oh ... Bitdefender erkannte heute angeblich eine Windows-Datei:
http://www.heise.de/security/Bitdefender-u.../meldung/132540
Prozessor
14.02.2009, 00:37
Hallo,
Gestern fand der Wächter von G Data bei mir den Trojaner "Winlogon exe",dieses habe ich in die Quarantäne geschickt. Folge:Der Monitor wurde schwarz und der PC startete endlos immer wieder neu. Im abgesicherten Modus konnte ich nicht mehr starten, so mußte ich nach der Arbeit mein XP neu installieren, ich bin darüber sehr ärgerlich (auch über meine Dummheit, das ich diese Datei in die Quarantäne geschickt habe). G Data habe ich deinstalliert, ist mir zu genau) und wieder avast 4.8 installiert . Nochmal, ich bin echt ärgerlich!!!!!
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz
Gruß Prozessor
Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.
ZITAT(Prozessor @ 14.02.2009, 00:36)
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz
In den Tests hat Avast meistens sehr viele FP
ZITAT(Prozessor @ 14.02.2009, 00:36)
Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.
http://www.rokop-security.de/index.php?sho...mp;#entry263186Joshua
ZITAT(Prozessor @ 14.02.2009, 00:36)
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz
ZITAT(tpro @ 14.02.2009, 01:14)
In den Tests hat Avast meistens sehr viele FP
Lest ihr eigentlich auch die letzten
aktuellen Postings, die vor euren Beiträgen stehen?
ZITAT(Stefan @ 14.02.2009, 10:37)
Lest ihr eigentlich auch die letzten
aktuellen Postings, die vor euren Beiträgen stehen?
Oh sorry, da hat wohl BitDefender mal zugeschlagen
markus17
14.02.2009, 22:56
ZITAT(Sasser @ 20.11.2008, 08:23)
G-Data beschreitetnun den gleichen Weg wie vor ein paar Wochen a Squared mit Ikarus bzw. es war die Engine von Ikarus.
Die Pack-Dat. von Safersurf wird als Virus angesehen und gibt somit auf ALLEN exe.dateien, die selber üer Safersurf runtergeladen wurden
einen Virusalarm aus und wer hat damit gerechnet bei entsprechender UNVORSICHTIGER Einstellung nämlich ohne Fragen in Quarantäne,
hat man so auf einem sauberen System plötzlich nach nur einem Scan-Vollsuch-Lauf geschlagene
60 FP.
Es ist schon abenteuerlich das man diese wegen Überlastung des Quarantäne Ordners nicht wieder zurückgespielt bekommt...
bei vollen 4GB.RAM also alle Programme und Wächter abgestellt...Fehlanzeige G-Data hängt...
Nun die anderen Wächter deinstaliert wegen der Dienste etc.. G-Data hängt immer noch...
G-Data deinstalieren...auch nicht möglich weder Quarantäne löschen noch Prog.Daten behalten...
nun eines half dann nach 10 Neustarts....AVK Cleaner+Ccleaner/Reg.+Tune-up+3xNeustart und Wiederholungen...
hab ich schon erwähnt das die staubige Ecke im Regal zuwags von G-Data bekommen hat?
F-Secure ist wieder belebt worden......so kanns gehen.
Also die Quarantäne funktioniert bei mir einwandfrei. Selbst mit mehreren hundert Samples kann man sie noch öffnen. -> hab nur 1GB Ram
ZITAT(Prozessor @ 14.02.2009, 00:36)
Hallo,
Gestern fand der Wächter von G Data bei mir den Trojaner "Winlogon exe",dieses habe ich in die Quarantäne geschickt. Folge:Der Monitor wurde schwarz und der PC startete endlos immer wieder neu. Im abgesicherten Modus konnte ich nicht mehr starten, so mußte ich nach der Arbeit mein XP neu installieren, ich bin darüber sehr ärgerlich (auch über meine Dummheit, das ich diese Datei in die Quarantäne geschickt habe). G Data habe ich deinstalliert, ist mir zu genau) und wieder avast 4.8 installiert . Nochmal, ich bin echt ärgerlich!!!!!
PS: hoffentlich war nicht die Avast Engine daran schuld, glaube ich aber nicht, denn avast ist ein solider gratis- Virenschutz
Gruß Prozessor
Habe nach XP Neuinstallation die gefundene Datei aus Quarantäne an G Data geschickt , leider bisher noch keine Rückantwort.
Nach meinen Erfahrungen produziert die Avast Engine mehr Fehlalarme als die BitDefender...
Auch wenn es dir jetzt leider nichts mehr bringt, liest es vielleicht doch noch ein anderer der betroffen ist:
Hier ist eine Anleitung wie man das System wieder in den Gang bringt:
http://www.gdata.de/support/kundenservice/...inlogonexe.html
Tja jetzt hat es GDate entdlich mal geschafft mit der aktuellen Version Performant zu sein und macht dabei so ein Bockmist. Die Auswahl der Sicherheitslösungen wird merklich kleiner was bleibt.... F-Secure, AVG, ESET, Norton.
ZITAT(aido @ 16.02.2009, 14:13)
Tja jetzt hat es GDate entdlich mal geschafft mit der aktuellen Version Performant zu sein und macht dabei so ein Bockmist. Die Auswahl der Sicherheitslösungen wird merklich kleiner was bleibt.... F-Secure, AVG, ESET, Norton.
Vor Fehlalarmen ist aktuell leider keiner wirklich sicher...
ZITAT(aido @ 16.02.2009, 14:13)
was bleibt.... F-Secure, AVG, ESET, Norton.
Erzähl doch mal den Usern, die etwas anderes einsetzen, warum
vomitator
16.02.2009, 16:34
ZITAT(scu @ 16.02.2009, 14:25)
Vor Fehlalarmen ist aktuell leider keiner wirklich sicher...
Die vielen f.p. waren für mich der Hauptgrund von GData IS zu F-Secure IS zu wechseln. Und diesbezüglich bin ich äußerst zufrieden!
ZITAT(Julian @ 16.02.2009, 16:16)
Erzähl doch mal den Usern, die etwas anderes einsetzen, warum
Ach Julian. Ich hab schon alles durch. Die oben genannten Produkte waren bei mir die einzigen die nicht so Negativ aufgefallen sind. Besonders AVG und F-Secure Entwickler geben sich wirklich Mühe dem Kunden so gut wie es geht bei problemen zu helfen. Bei anderen bekommt mal lediglich eine Standardmail oder ein Hinweis zum besuch des Forums - Avira lässt grüssen das Forum ist ja nicht zu gebrauchen.
AdAware 2008 beanstandet mit Def. 0146.0011 a²HiJackFree.exe als Trojan.Spybanker, sicherlich falsch und schon eingesendet.
MfG
Ad-Aware AE beanstandet schon mal diverse DLL-Files als "Suspicous files", wohl etwas überempfindlich die Heuristik
Ein Fehlalarm von a² -> war wohl gravierend
Info
kurz-pc
25.02.2009, 18:36
SecureWeb-Gateway hält die explorer.exe für schädlich Win32.LooksLike.Virut.
http://www.virustotal.com/analisis/c443b02...4d41ec590c0e1d3 hat jemand die Adresse von SecureWeb für fp?
Die Datei vtcpak32.dll (stammt von Deep Paint 2.0) wird wie folgt falsch erkannt:
http://www.virustotal.com/de/analisis/f818...bc21-1244018537Kann das jemand mittels Programm den entsprechenden AV's zur Verfügung stellen (insbesondere Sunbelt, Bitdefender, McAfee und Comodo)?
Ich hab's schonmal eingesandt, aber keine Reaktion erhalten.
Deep Paint gibt's hier:
http://www.chip.de/downloads/Deep-Paint_16395518.html
Ich habe es mal zu Gdata gesendet. Mal sehe, was passiert.
Bis denne
Olli
Danke, olli.
Und es geht weiter mit GData:
in Squeez, einem Archiver
http://www.speedproject.de/squeez/index.htmlfinde Engine B, also Avast auf einmal einen Trojaner:
Win32:Obfuscated-FWN [Trj]
Auf Virscan.org melden alle andere Scanner aber nix, so dass ich stark von einem Fehlalarm ausgehen.
Die Datei habe ich auch schon eingesendet.
Bis denne
olli
ZITAT(olli @ 03.06.2009, 20:54)
Und es geht weiter mit GData:
in Squeez, einem Archiver
http://www.speedproject.de/squeez/index.htmlfinde Engine B, also Avast auf einmal einen Trojaner:
Win32:Obfuscated-FWN [Trj]
Bis denne
olli
Fehlalarm ist behoben.
Bis denne
Olli
Solution-Design
06.06.2009, 18:50
Da waren sie aber wesentlich flotter als seinerzeit Symantec! Dort geht die FP-Behebung (auch wenn FPs selten bis gar nicht vorkommen, der SpeedCommander-FP war in einem Einstellungssicherungsmodul bei Heuristik hoch) nur über ein dämliches Webseitchen, ohne Datei-Upload-Möglichkeit. Und das hat Wochen gedauert. OK, FPs sind im Gegensatz zum G-Data-Zeugs eher nicht vorhanden, dennoch...
kurz-pc
06.06.2009, 21:58
Bei mir hat Symantec vor kurzem ein FP der innerhalb 24 Stunden bestätigt und entfernt wurde.
Allerding hab ich es per Formular eingeschickt und nicht per Mail.
https://submit.symantec.com/false_positive/index.html Im Moment ärger ich mich über Bitdefender versuch seit dem 16.04.09 ein FP entfernen zu lassen die melden sich aber einfach nicht und entfernt wird auch nichts.
VT vom 16.04.09 Result: 14/40 (35.00%)
http://www.virustotal.com/analisis/0df4e31...deae-1239893077VT von 06.06.09 Result: 7/39 (17.95%) (Panda hat am 04.06.2009 den FP bestätigt)
http://www.virustotal.com/analisis/0df4e31...deae-1244321569
ZITAT(blueX @ 03.06.2009, 17:59)
Die Datei vtcpak32.dll (stammt von Deep Paint 2.0) wird wie folgt falsch erkannt:
http://www.virustotal.com/de/analisis/f818...bc21-1244018537Kann das jemand mittels Programm den entsprechenden AV's zur Verfügung stellen (insbesondere Sunbelt, Bitdefender, McAfee und Comodo)?
Ich hab's schonmal eingesandt, aber keine Reaktion erhalten.
Deep Paint gibt's hier:
http://www.chip.de/downloads/Deep-Paint_16395518.htmlDer False Positive besteht immernoch bei Comodo, Bitdefender, MKS_Vir und McAfee obwohl ich ihn eingesandt habe. Sunbelt hat inzwischen gefixt.
Inzwischen kam auch noch PCTools dazu:
http://www.virustotal.com/de/analisis/f818...bc21-1244733423Hat schonmal jemand versucht, bei PCTools einen Fehlalarm zu melden? Was die alles wissen wollen ->
http://www.pctools.com/de/mrc/disputeWarum schauen die das nicht selbst an?
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte
hier klicken.